Merge pull request 'düzeltmeler ve Summary hataları giderimi' (#89) from AA/guvenlik:master into master

Reviewed-on: oyd/guvenlik#89
Reviewed-by: Özcan Oğuz <ozcan@oyd.org.tr>
remotes/1719671380117180819/master
Özcan Oğuz 4 years ago
commit a6158c9317
  1. 6
      src/SUMMARY.md
  2. 12
      src/beseri_guvenlik/fiziki_guvenlik.md
  3. 50
      src/beseri_guvenlik/private_lock.md
  4. BIN
      src/beseri_guvenlik/privatelock/privatelock.png
  5. BIN
      src/beseri_guvenlik/privatelock/privatelock2.png
  6. BIN
      src/beseri_guvenlik/privatelock/privatelock3.png
  7. 3
      src/cihaz_guvenligi/luks_usb.md
  8. 2
      src/yazisma_guvenligi/gpg/ucbirim_gpg.md
  9. 81
      src/yazisma_guvenligi/gpg/wot.md

@ -9,6 +9,7 @@
- [Fiziki Güvenlik](beseri_guvenlik/fiziki_guvenlik.md) - [Fiziki Güvenlik](beseri_guvenlik/fiziki_guvenlik.md)
- [Haven ile Ortam İzlemesi](beseri_guvenlik/haven.md) - [Haven ile Ortam İzlemesi](beseri_guvenlik/haven.md)
- [Oje ve Entropi ile Cihaz Güvenliği](beseri_guvenlik/oje.md) - [Oje ve Entropi ile Cihaz Güvenliği](beseri_guvenlik/oje.md)
- [Private Lock ile Kapkaç Tedbiri](beseri_guvenlik/private_lock.md)
- [Cihaz Güvenliği](cihaz_guvenligi/README.md) - [Cihaz Güvenliği](cihaz_guvenligi/README.md)
- [Yazılım Güvenliği](cihaz_guvenligi/yazilim_guvenligi.md) - [Yazılım Güvenliği](cihaz_guvenligi/yazilim_guvenligi.md)
- [Cihaz Şifreleme](cihaz_guvenligi/cihaz_sifreleme.md) - [Cihaz Şifreleme](cihaz_guvenligi/cihaz_sifreleme.md)
@ -24,7 +25,10 @@
- [GnuPG Gelişmiş Anahtar Üretimi](yazisma_guvenligi/gpg/gpg_gelismis_anahtar_uretimi.md) - [GnuPG Gelişmiş Anahtar Üretimi](yazisma_guvenligi/gpg/gpg_gelismis_anahtar_uretimi.md)
- [GnuPG Anahtarını Saklama](yazisma_guvenligi/gpg/anahtar-saklama.md) - [GnuPG Anahtarını Saklama](yazisma_guvenligi/gpg/anahtar-saklama.md)
- [Anahtarın Kağıt Yedeğini Almak](yazisma_guvenligi/gpg/paperbackup.md) - [Anahtarın Kağıt Yedeğini Almak](yazisma_guvenligi/gpg/paperbackup.md)
- [GnuPG Terminal Kullanımı](yazisma_guvenligi/gpg/ucbirim_gpg.md) - [GnuPG Grafik Arayüz Kullanımı](yazisma_guvenligi/gpg/gui_gpg.md)
- [GnuPG Komut Satırı Kullanımı](yazisma_guvenligi/gpg/ucbirim_gpg.md)
- [GnuPG Güven Ağı](yazisma_guvenligi/gpg/wot.md)
- [GnuPG Web Anahtar Dizini](yazisma_guvenligi/gpg/wot.md)
- [Şifreli E-Posta](yazisma_guvenligi/openpgp.md) - [Şifreli E-Posta](yazisma_guvenligi/openpgp.md)
- [Thunderbird/Enigmail ile E-posta Şifreleme](yazisma_guvenligi/thunderbird_enigmail.md) - [Thunderbird/Enigmail ile E-posta Şifreleme](yazisma_guvenligi/thunderbird_enigmail.md)
- [Kmail ile E-posta Şifreleme](yazisma_guvenligi/kmail.md) - [Kmail ile E-posta Şifreleme](yazisma_guvenligi/kmail.md)

@ -2,7 +2,7 @@
Bir cihazın güvenliği sadece yazılımsal değil aynı zamanda donanımsal koşullara da bağlıdır. Teknik olarak cihazınıza uzaktan gelebilecek tehlikelere karşı tedbir alsanız bile cihazınıza fiziken erişimi olan bir saldırganın, çok daha etkili ve görünmez saldırılarına maruz kalmanız işten bile değildir. Bu tip saldırılara karşı alınabilecek tedbirler yine fiziki olmaktadır. Bir cihazın güvenliği sadece yazılımsal değil aynı zamanda donanımsal koşullara da bağlıdır. Teknik olarak cihazınıza uzaktan gelebilecek tehlikelere karşı tedbir alsanız bile cihazınıza fiziken erişimi olan bir saldırganın, çok daha etkili ve görünmez saldırılarına maruz kalmanız işten bile değildir. Bu tip saldırılara karşı alınabilecek tedbirler yine fiziki olmaktadır.
Fiziki erişimi ile gerçekleştirilebilecek saldırılar, basit bir web araması ile elde edilebilecek bilgilerden ulus devlet seviyesinde kaynakları gerektiren yöntemlere uzanmaktadır. Bu bakımdan fiziki erişim ile yapılabilecek saldırılar sadece filmlerde görülebilecek cinsten zorlukta değildir. Fiziki erişimi ile gerçekleştirilebilecek saldırılar, basit bir web araması ile elde öğrenilebileceklerden ulus devlet seviyesinde kaynakları gerektiren yöntemlere uzanmaktadır. Bu bakımdan fiziki erişim ile yapılabilecek saldırılar sadece filmlerde görülebilecek cinsten zorlukta değildir.
Fiziki saldırılara karşı alınabilecek tedbirler hem teknik hem de beşeri olmaktadır. Basit davranış değişiklikleri ile cihazlarınızın fiziki güvenliğini çok daha iyi hale getirebilir, teknik tedbirlerle cihazlarınızı çok daha zorlu hedefler kılabilirsiniz. Fiziki saldırılara karşı alınabilecek tedbirler hem teknik hem de beşeri olmaktadır. Basit davranış değişiklikleri ile cihazlarınızın fiziki güvenliğini çok daha iyi hale getirebilir, teknik tedbirlerle cihazlarınızı çok daha zorlu hedefler kılabilirsiniz.
@ -18,15 +18,17 @@ Elbette tüm cihazlarınızı **sürekli** üzerinizde taşımak tehdit modelini
Bu iki koşulu size tehlike oluşturabilecek saldırıların imkanları ile kıyaslayarak anlamlı bir modelleme yapmanız mümkündür. Şayet cihazınızı pek de tanımadığınız insanlarla birlikte çalıştığınız işyerinizde bırakıyorsanız cihazlarınız için pek çok yönden endişe edebilirsiniz. Söz konusu alan kamera ile izleniyor ve görüntüleri tutan kişilere güvenebilirseniz riskiniz azalabilir. Evinizde bıraktığınız bilgisayarınız görece daha güvende olacaktır. Şayet evinizi veya bilgisayarınızı koruyacak bir alarm sisteminiz varsa daha az risk içinde sayılırsınız. Bu iki koşulu size tehlike oluşturabilecek saldırıların imkanları ile kıyaslayarak anlamlı bir modelleme yapmanız mümkündür. Şayet cihazınızı pek de tanımadığınız insanlarla birlikte çalıştığınız işyerinizde bırakıyorsanız cihazlarınız için pek çok yönden endişe edebilirsiniz. Söz konusu alan kamera ile izleniyor ve görüntüleri tutan kişilere güvenebilirseniz riskiniz azalabilir. Evinizde bıraktığınız bilgisayarınız görece daha güvende olacaktır. Şayet evinizi veya bilgisayarınızı koruyacak bir alarm sisteminiz varsa daha az risk içinde sayılırsınız.
İçinde bulunduğunuz durumun maddi koşulları ile cihazlarınızı terk ettiğiniz alanların koşullarının bir kıyaslamasının her an yapılması gerekli. Bu konu hakkında **Evil Maid** kavramı altındaki yaklaşımları inceleyebilirsiniz.
## Cihazlarınızı gözetim altında tutun ## Cihazlarınızı gözetim altında tutun
Şayet cihazlarınızı taşıyamıyor veya taşımak istemiyorsanız, cihazlarınızı sürekli gözetim altında bulundurmayı değerlendirebilirsiniz. Bu cihazlarınıza yapılacak bir müdahaleyi engellemeyecek olsa da saldırganı caydırabilir, sizden habersiz müdahale edemeyecek olduğundan dolayı vazgeçirebilir veya durumun farkında olmayan bir saldırganı kayıt altına alabilir. Her halukarda kayıt sisteminizin de güvenliğini düşünmeniz ve gözetim sisteminizin sizi olası durumlarda uyaracağından emin olmanız gerekir. Şayet hiç bakmadığınız bir kamera kaydı bir girişimi kaydetse bile çok işinize yaramayacaktır. Şayet cihazlarınızı taşıyamıyor veya taşımak istemiyorsanız, cihazlarınızı sürekli gözetim altında bulundurmayı değerlendirebilirsiniz. Bu cihazlarınıza yapılacak bir müdahaleyi engellemeyecek olsa da saldırganı caydırabilir, sizden habersiz müdahale edemeyecek olduğundan dolayı saldırının anlamını yitirmesine neden olabilir veya durumun farkında olmayan bir saldırganı kayıt altına alabilir. Her halukarda kayıt sisteminizin de güvenliğini düşünmeniz ve gözetim sisteminizin sizi olası durumlarda uyaracağından ve kayıtlara kolayca müdahale edilemeyeceğinden emin olmanız gerekir. Şayet hiç bakmadığınız veya baktığınızda silinmiş bir kamera kaydı bir girişimi kaydetse bile çok işinize yaramayacaktır.
Bu amaçla tasarlanmış ilginç projelerden biri olarak [Guardian Project](https://guardianproject.info/) tarafından geliştirilen [Haven](https://github.com/guardianproject/haven/releases) dikkate değerdir. Bir android telefonu güvenli bir gözetim aracına çevirmeye yarayan Haven, cihazın sensörleri ve kamerası ile izlediği alandaki değişiklikleri kaydedip kullanıcısına Signal ve TOR üzerinden haber verebilmekte. Bu amaçla tasarlanmış ilginç projelerden biri olarak [Guardian Project](https://guardianproject.info/) tarafından geliştirilen [Haven](https://github.com/guardianproject/haven/releases) dikkate değerdir. Bir android telefonu güvenli bir gözetim aracına çevirmeye yarayan Haven, cihazın sensörleri ve kamerası ile izlediği alandaki değişiklikleri kaydedip kullanıcısına Signal ve TOR üzerinden haber verebilmekte.
## Cihazlarınızı girişimlere dayanıklı hale getirin ## Cihazlarınızı girişimlere dayanıklı hale getirin
Cihazlarınızı fiziki müdahalelere karşı dayanıklı hale getirmek hem donanımsal/yazılımsal tedbirleri hem de cihazınıza müdahale etmeyi ortaya çıkaracak fiziki tedbirleri kapsamaktadır. Cihazlarınızı fiziki müdahalelere karşı dayanıklı hale getirmek hem donanımsal/yazılımsal tedbirleri hem de cihazınıza yapılan müdahaleleri ortaya çıkaracak fiziki tedbirleri kapsamaktadır.
### Yazılımsal/Donanımsal tedbirler ### Yazılımsal/Donanımsal tedbirler
@ -44,12 +46,14 @@ Cihazınızın /boot sektörünü ve tüm açılış aşamalarını kriptografik
### Fiziki güvenlik tedbirleri ### Fiziki güvenlik tedbirleri
Cihazınıza fiziken girişimde bulunmak genellikle bir biçimde cihazınızın açılmasını gerektirebilir. Bu cihazın donanımlarına bir ekleme yapmak veya ram ve sabit sürücü gibi donanımların çıkarılarak/değiştirilerek müdahale edilmesini ifade edebilir. Bir saldırganın yapacağı değişikliklerin ifşa olacağını fark etmesi hem caydırıcı hem de genel olarak güven verici bir önlemdir. Cihazınıza fiziken girişimde bulunmak genellikle bir biçimde cihazınızın açılmasını gerektirebilir. Bu cihazın donanımlarına bir ekleme yapmak veya ram ve sabit sürücü gibi donanımların çıkarılarak/değiştirilerek müdahale edilmesi olabileceği gibi kabaca kilidi açık cihazınızın elinizden kapılması da olabilir. Bir saldırganın yapacağı değişikliklerin ifşa olacağını fark etmesi hem caydırıcı hem de genel olarak güven verici bir önlemdir.
* [Simli Oje ve Entropi ile Fiziki Güvenlik](oje.md) * [Simli Oje ve Entropi ile Fiziki Güvenlik](oje.md)
* [Haven ile ortam izlemesi](haven.md) * [Haven ile ortam izlemesi](haven.md)
* [Private Lock ile Kapkaç Tedbiri](private_lock.md)

@ -0,0 +1,50 @@
# Private Lock ile Kapkaç Önlemi
Günümüzde neredeyse yaşam zorunluluğu haline gelmiş mobil cihazlardan olan akıllı telefonlar, en önemli verilerimizi tuttuğumuz araçlar konumundalar. Bu durum söz konusu cihazları ciddi bir mahremiyet ve güvenlik riski haline de getirmekte.
Mobil cihazlar, çalınma ve kaybolma riski içinde kullanıldıklarından [şifreleme](cihaz_guvenligi/cihaz_sifreleme.md) neredeyse zaruri bir güvenlik tedbiri. Lakin bilgisayarlara nazaran mobil cihazlar neredeyse hiç kapatılmadığından şifreleme anahtarları sürekli olarak RAM üzerinde durmakta ve ekran kilidinin açık olduğu her an cihazın içeriğindeki neredeyse tüm bilgiler cihazı elinde tutanın insafına kalmakta.
Bu tehlikenin gerçekleşme riski teorik bir tartışma değil. [Birleşik Krallık'ta bir polis teşkilatı yasal olarak bir zanlıya kapkaç yaparak](https://www.bbc.com/news/uk-38183819) söz konusu imkanın gerçek hayatta kullanımının mümkün olduğunu herkse göstermiş bulunuyor. Buna telefonu elinizden alıp akla hayale gelmeyecek şeyler yapabilecek yakınlarınız ve arkadaşlarınızı da eklerseniz konuya karşı tedbir almak yerinde görülebilir.
## Private Lock
[Private Lock](https://github.com/wesaphzt/privatelock) [F-droid](https://f-droid.org) yazılım deposunda bulunabilecek özgür bir yazılım olarak cihazınızın elinizden kapılması veya düşürülmesi gibi ani hızlanmalarda ekranını kitleyerek güvenlik sağlıyor.
Öncelikle F-droid üzeriden Private Lock uygulamasını indirerek cihazınıza kurun ve çalıştırın. Kısa bir tanıtımın ardından aşağıdaki basit ekran ile karşılaşacaksınız.
![alt-text](privatelock/privatelock.png)
![alt-text](privatelock/privatelock2.png)
Private Lock fazlasıyla basit bir yazılım. 0-40 arasında derecelendirilen değer cihazınızdaki jiroskop sensörüne bağlı olarak hangi kuvvetlerde cihazınızın kilitleneceğini belirlemekte. Hemen altta bulunan dairede ise cihazınızın sensöründen o anda gelen tepkinin değeri verilmekte. Dairenin tamamen yeşil olması durumunda telefonunuz kilitlenmekte. 0 ile 40 arasındaki dereceyi ayarlayarak telefonunuzun içine düşebileceği fiziki koşulları deneme yolu ile uygun ayarı bulmanız gerekli. Bir arkadaşınızdan telefonu elinizden olabildiğince nazik şekilde habersiz kapmasını isteyin. Telefonunuz kilitleninceye kadar ayarı uygun şekilde düzenleyin.
**NOT:**Ayarı çok düşük yapmanız durumunda olağan kullanımlar sırasında da can sıkıcı kilitlenmelerle karşılaşabilirsiniz.
## Ayarlar
Private Lock çok karmaşık işlevler sunan bir yazılım olmadığından ayarlar bölümünd sadece dört tane seçene bulabilirsiniz.
![alt-text](privatelock/privatelock3.png)
* **System start**: Cihazınız açıldığında Private Lock'ın başlamasını sağlayacaktır.
* **Haptic feedback**: Cihazınızın kilitlendiğini bir titreşim ile size bildirilmesini sağlar.
* **Run service when locked**: Ekran kilidi devrede iken de kilitleme işlevinin etkin olmasını sağlayarak ekran kilidini her an devreye sokulmasını sağlar.
Ayarları dilediğiniz gibi yapabilirsiniz. Tavsiyemiz "system start" ile "run service when locked" seçeneklerinin işaretli olmasıdır.
## Dikkat edilmesi gerekenler
1. Private Lock kusursuz değildir. Kimi zaman istenmeyen zamanlarda kilitleme yapabileceğinden bununla biraz yaşamanız gereklidir.
2. Aynı sebepten Private Lock gerçekten gerektiğinde çalışmayabilir. Keza jiroskop her zaman doğru değer ölçemediği gibi yaşanan kapkaç olayının şiddeti duruma etki edecektir. Bu özellikle ayarın gereğinden yüksek yapıldığı durumlar için geçerlidir.
3. Private Lock sürekli olarak jiroskop sensörünü dinleyeceği için cihazınızın şarjından bir miktar tüketecektir. Kullanılan cihazlarda bu belirgin olmamakla birlikte dikkat edilmesi gerekebilir.

Binary file not shown.

After

Width:  |  Height:  |  Size: 23 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 26 KiB

Binary file not shown.

After

Width:  |  Height:  |  Size: 32 KiB

@ -229,8 +229,7 @@ Bu işlemi gerçekleştirmek için ne yazık ki uçbirim kullanmanız gerekmekte
## Sıkça Sorulan Sorular ## Sıkça Sorulan Sorular
1. Bir marka çok güvedd if=/dev/urandom of=/dev/sdX bs=4096 status=progress 1. Bir marka çok güveli, üç harfli algoritmalı usb bellekler satıyor, bunlar güvenli mi?
nli, üç harfli algoritmalı usb bellekler satıyor, bunlar güvenli mi?
Bu tip cihazlar her zaman cihaz üzerindeki bir donanıma bağlı olarak şifreleme yaparlar. Bu kimi tehdit modelleri için yeterli olsa bile bilmediğiniz bir donanıma ve muhtemelen zayıf bir parolanın güvenliğine kalırsınız. Şayet şifreleme sizin için küçük bir önlem ise ve usb belleğinize koşulsuz şartsız her cihazda ulaşmak istiyorsanız bu yolu kullanabilir çok önemli dosyalarınızı ayrıca şifreleyebilirsiniz. Bu tip cihazlar her zaman cihaz üzerindeki bir donanıma bağlı olarak şifreleme yaparlar. Bu kimi tehdit modelleri için yeterli olsa bile bilmediğiniz bir donanıma ve muhtemelen zayıf bir parolanın güvenliğine kalırsınız. Şayet şifreleme sizin için küçük bir önlem ise ve usb belleğinize koşulsuz şartsız her cihazda ulaşmak istiyorsanız bu yolu kullanabilir çok önemli dosyalarınızı ayrıca şifreleyebilirsiniz.

@ -1,4 +1,4 @@
## GPG ile uçbirimde işlemler ## GPG ile Komut Satırında işlemler
GPG temel olarak komut satırında çalışan bir yazılımdır. Bu bakımdan grafik arayüzler tarafından sunulmayan pek çok faydalı özelliği uçbirim aracılığı ile kullanmak ve kimi zaman grafik arayüzlerin sunduğu işlevleri daha kolay yerine getirmek mümkündür. Pek çok kullanıcı için uçbirim korkutucu olabilmektedir. Lakin her Gnu/Linux cihazda bir uçbirim ve GPG kurulu olduğu düşünüldüğünde GPG'nin evrensel kullanımı uçbirimde toplanmaktadır. GPG temel olarak komut satırında çalışan bir yazılımdır. Bu bakımdan grafik arayüzler tarafından sunulmayan pek çok faydalı özelliği uçbirim aracılığı ile kullanmak ve kimi zaman grafik arayüzlerin sunduğu işlevleri daha kolay yerine getirmek mümkündür. Pek çok kullanıcı için uçbirim korkutucu olabilmektedir. Lakin her Gnu/Linux cihazda bir uçbirim ve GPG kurulu olduğu düşünüldüğünde GPG'nin evrensel kullanımı uçbirimde toplanmaktadır.

@ -1,3 +1,80 @@
# GPG Anahtarlarının Güven Ağı # GPG Anahtarları ile Güven Ağı Oluşturmak
[Bu bölüme katkı verebilirsiniz.](https://git.oyd.org.tr) Güven ağı en basit anlamı ile bir kimlik yönetimi şeklidir. Günlük hayatımızda kimin kim olduğunu söyleyenin bir çeşit otorite olması durumunun aksine güven ağında her kişi kimliğinin ve topluluğun güveninin kaynağıdır.
Basitçe güven ağı, tanıdıklarınızın tanıdıklarına güvenmenizdir. Aynı şekilde sizi tanıyan insanlara güvenenler de sizin söylediğiniz kişi olduğunuza güvenir.
## GPG neden güven ağına ihtiyaç duyar
GnuPG sadece bir şifreleme aracı değil aynı zamanda bir kimlik aracıdır. Bu kriptografik imza yöntemi ile anahtarın sahibinin bir bilginin kendisine ait olduğunu kanıtlaması gibi kendisinin söylediği kişi olduğunu da kanıtlamasını sağlar. Bu neden ile GPG inkar edilebilir şifreleme sunmaz ve bu neden ile çoğu GPG kullanıcı anahtarlarında gerçek adlarını ve e-posta adreslerini bulundurur. Çünkü amaç kişinin kendini kanıtlamasıdır.
Pek çok devlet ve şirket kaynaklı kimlik yönetim sisteminin aksine GPG merkezi bir otoriteye dayanmaz. Bu neden ile herhangi bir kişi istediği isimle veya bilgiyle [bir anahtar oluşturabilir](gpg-anahtar-uretimi.md) ve bunu hiç bir sorunun sorulmadığı anahtar sunucularına yükleyebilir. Bu sebepten [tanınmış kişilerin ismine pek çok sahte anahtar bulunmakta](https://keyserver.ubuntu.com/pks/lookup?search=richard+stallman&fingerprint=on&op=index), [gerçek insanların anahtarlarında da belki binlerce sahte imza](https://keyserver.ubuntu.com/pks/lookup?search=0xF2AD85AC1E42B367&fingerprint=on&op=index) bulunmakta. Bu vahşi batı düzenine çözüm olarak kısmen daha [merkezi sistemler](keys.openpgp.org) ve [başkaca güven kaynakları ile desteklenmiş çözümler](wkd.md) önerilmekte ise de güven ağı hala bireyin en güçlü olduğu, en özgürlükçü sistemdir.
## Güven ağı nasıl kurulur
Bir GPG anaharı sahibi iseniz çevrenizde tanıdığınız GPG kullanıcılarının anahtarlarını imzalayarak kendi güven ağınızı oluşturabilirsiniz. Bunun için [Kleopatranın grafik arayüzünden](gui_gpg.md) veya doğrudan [uçbirim aracılığı ile](ucbirim_gpg.md) imzalama işlemlerini yapabilirsiniz.
Bir anaharı imzalamak için sırası ile aşağıdaki işlemleri yapmanız gereklidir.
1. İmzalanacak umumi anahtarı bulup indirmek
2. Anahtarı imzalamak
3. Anahtarın sahibine imzalı anahtarı dışa akarıp göndermek veya bir anahtar sunucusuna yüklemek.
İmzalama işlemini yaptıktan sonra şayet imzaladığınız anahtarın güven değerine bakarsanız en yüksek değerde olduğunu göreceksiniz.
`gpg --gpg --list-keys [anahtar ID veya e-posta]`
```
pub rsa4096 2013-07-20 [SC]
67819B343B2AB70DED9320872C6464AF2A8E4C02
uid [ full ] Richard Stallman <rms@gnu.org>
sig!3 2C6464AF2A8E4C02 2013-07-20 Richard Stallman <rms@gnu.org>
sig!3 170AF0E2954295DF 2017-06-21 Ian Andrew Kelling <ian@iankelling.org>
sig! 42272957268B3FCA 2020-03-18 Alper Atmaca <alper@oyd.org.tr>
sub rsa4096 2013-07-20 [E]
sig! 2C6464AF2A8E4C02 2013-07-20 Richard Stallman <rms@gnu.org>
gpg: 4 good signatures
gpg: 202 signatures not checked due to missing keys
```
Bu noktadan sonra sizi tanıyan ve anahtarınıza güvenen kişiler imzaladığınız anahtarın da belirtilen kişiye ait olduğuna güvenecekler. Elbette tek imza tam anlamı ile yeterli olmamakta ve GPG belirli bir güvenilir imza isteyecektir. Bu bakımdan bir güven ağı ne kadar sık dokunduysa o derecede güvenilir olacaktır.
Kendi güven ağınızı oluşturduktan sonra yapmanız gereken tek şey bu ağı tüm dünyadaki güven ağına bağlamaktır. Bunun için grubunuzdan bir kişinin güvenilen, anahtarında çokça geçerli tanınmış insanların imzası olan bir kişiye ulaşması ve anahtarını imzalatması gereklidir. Bu olduğunda sizin küçük güven ağınız tüm **dünyadaki GPG güven ağının** bir parçası olur.
## Güven ağının temelleri
Şayet herkes koşulsuz şartsız herkesin anahtarını imzalıyor olsaydı bir "güven" ilişkisinden söz etmemiz mümkün olmazdı. Bu bakımdan bir kişinin anahtarını imzalamak size güvenen herkesin güvenine karşı bir **sorumluluk** taşıdığından bu eylemi dikkatli bir şekilde gerçekleştirmeniz gerekmektedir.
Neredeyse 30 yıldır hayatta olan güven ağı dünyada kabul edilmiş kimi kurallara göre işler. Bu kurallara bağlı olarak güven ağınızı oluşturmak hem sizin hem de **tüm GPG kullanıcıları için çok ama çok önemlidir.**
1. Yüzyüze tanışmadığınız kimsenin anahtarını imzalamayın
2. Tanıştığınız kişilerin söyledikleri kişiler olduğunu mümkün ise birden fazla fotoğraflı resmi kimlik ile doğrulayın
3. Anahtar parmakizlerinin tamamını kontrol edin ve anahtardaki bilgilerin kimliklerindeki bilgiler ile eşleştiğinden emin olun.
Yukarıdaki kurallar **olmazsa olmaz** detaylar olmakla birlikte hem kendi anahtarınızdaki gereksiz imzaları azaltmak hem de boş yere imza atmamak için aşağıdaki kuralları da kendi rızanıza göre getirebilirsiniz. Bu özellikle anahtarınıza olan güven büyük ise daha da önem kazanır.
* İmzalayacağınız anahtarda bulunan e-postaların gerçekten o kişi tarafından kullanıldığını doğrulamak yerinde olabilir. Her ne kadar o kişi dediği kişi olsa da e-postaların gerçek sahibi olmayabilir. Bunu gerçekleştirmenin en kolay yolu kişiden o anahtar ile imzalı bir e-posta talep etmektir.
* Kişi GPG anahtarına hala sahip mi? Pek çok insan bir GPG anahtarı oluşturup ya anahtar dosyasını ya da parolasını kaybederek erişimlerini yitiriyorlar. Bu hayalet anahtarlar sonsuza kadar anahtar sunucularında kaldığından siz de boş yere imza atmış ve ihtimalen güvensiz bir anahtara güven oluşturmuş oluyorsunuz Bu bakımdan yine imzalı bir e-posta bu durumun da kanıtı olabilir.
* Kişi söz konusu anahtara ne kadar süredir sahip olduğu bilgisi kişinin ciddi bir GPG kullanıcısı olup olmadığının da belirtisi olabilir. Şayet anahtarını yeni oluşturmuş ve bir deney olarak bulunduran bir kişiye güven teslim etmek anahtarı kaybetmesi durumunda yukarıdaki durumu yaratabileceğinden belki bir süre anahtara sahip olması üzerine anahtarını imzalamanız yerinde olabilir.
* Kişinin anahtarını ait olduğu alanlarda ilan etmesi anahtarına olan hakimiyetinin de göstergesi olabilir. Pek çok kişi anahtarının parmak izini ait oldukları sosyal medya kanallarında görünür kılmaktadır. Bu durumun imzalama yapılmadan incelenmesi güven ilişkisini pekiştirebilir.
* Kişi anahtar imzalamanın ve güven ağına dahil olmanın sorumluluklarının farkında olmalıdır. Bu bakımdan imzalanacak anahtarın sahibi ile kısa bir GPG muhabbeti kişinin sizin ona vereceğiniz güveni koruyup koruyamayacağına dair çok şey söyleyebilir.
* Anahtarın genişliği 2048 bit'ten fazla değil ise çok geçmeden eskiyecek ve güvenli kabul edilmeyecek bir anahtar söz konusudur. Şayet bu anahtarı kullanan kişinin özellikle daha düşük boyutta bir anahtar kullanmak için özel bir gerekçesi yok ise anahtarı imzalamayı bir kere daha düşünebilirsiniz.
## Yalnız mısınız
Pek çok yeni GPG kullanıcısı için bu bir gerçeklik olabilir. Keza GPG kullanıcısı sayısı fazla olmamakla birlikte bu kişileri tanımak da genellikle bilişim ve özgür yazılım camialarından olmayan insanlar için zor olabilmektedir. Bu durumun sizi yıldırmasına izin vermemelisiniz. Öncelikle bir GPG anahtarı sahibi olmak kendi başına çok kullanışlı ve genel bilişim güvenliğinize çok fazla katkı sunacak bir ayrıcalıktır. İkincisi tüm dünyada sizi sıcak karşılayacak ve güven ağlarına dahil edecek topluluklar bulunmaktadır.
Türkiye'de bu toplulukların başında, bu rehberin de yaratıcısı olan [Özgür Yazılım Derneği](https://oyd.org.tr) ve [Hackerspace İstanbul](https://hackerspace.ist) gelmekte ve Türkiye'deki uluslararası bağlantıya sahip en önemli güven ağının da merkezinde bulunmaktadır. İki topluluk da belirli aralıklarla İstanbul'da ve mümkün olursa başka illerde uluslararası bir etkinlik olan [Cryptoparty](https:www.cryptoparty.in) düzenlemektedir. Cryptoparty'ler katılımcıların birbirlerine yardım ederek güvenli iletişim araçlarını kullanmayı kolaylaştırmak ve GPG anahtarlarını imzalayarak yerel güven ağları oluşturmak üzere gerçekleştirilir. Türkiye'de gerçekleştirilen etkinlikleri [Cryptoparty İstanbul](https://cryptoparty.istanbul) adresinden veya Özgür Yazılım Derneği'nin iletişim kanallarından takip edebilirsiniz.
## Ek okuma listesi
* [GnuPG güven ağı makalesi](https://www.gnupg.org/gph/en/manual/x547.html)
* [GnuPG güven ağı wikisi](https://wiki.gnupg.org/WebOfTrust)
* [Güven ağı wikipedia](https://en.wikipedia.org/wiki/Web_of_trust)
* [Güven ağının algoritmasına ilişkin bir açıklama](https://security.stackexchange.com/questions/73267/gpg-web-of-trust-level)

Loading…
Cancel
Save